共享文件系统文件传输,是网络侦控项目中的一个实际操作。它是为了抵制入侵者进入内网而提出的一种安全解决方案。在实际传输过程中,拓扑图如下:
实际环境均在Linux主机下进行。采用OCFS2文件集群的方式。外部主机A和内部主机B之间的通讯,均通过共享存储空间C进行接受和发送。这样即使入侵者拿下外部主机A,也无法渗透内网。这样可以确保内部主机B是安全的。在此“共享文件系统文件传输”设计中,主要是实现A--->C--->B这样一个文件传输过程。在以下分析中,将会给出一种简单的设计思路。
首先,我来介绍下集群系统OCFS(RAC)。RAC的全称是什么呢,就是Real Application Cluster,是一种在集群的环境下实现共享的一种数据库存储形式。在通常我们的数据库,如果是单机版的数据库,当数据文件磁盘不能访问,那么这个数据库就挂掉了。如果是集群共享数据库的话,其中一种方法就是在某个节点存放数据文件,其余的数据库都通过NFS或者Samba来进行共享,虽然数据库的数据处理能力得到了很大的提高,不过如果这个存储节点挂掉的话,同样数据库也就宕掉了。而OCFS则是一种无断点恢复的存储形式,在整体给人的感觉就是每台数据服务器都有自己的文件系统,但是这些文件系统又仿佛只是同一个文件系统,因为数据更新或者其他的操作都是很统一的。即使某台电脑挂了,其余的服务器照样运行,不会出现数据库的异常,而如果想新加入一台服务器也是很简单的事。由此可见在共享文件系统文件传输设计中,选择OCFS2系统是最好的选择。
由于采用OCFS文件系统,共享磁盘C既可看作主机A的一个本地磁盘,又可看作B的一个本地磁盘。如图:
在这样一个网络配置环境下,程序初步实现算法如下:
1. 主机A每隔10分钟检测一次,把“/root/A”目录下的文件拷贝到共享磁盘C的 “/mnt/share”上,然后删除/root/A中的文件。(此时,共享磁盘C已经挂载到主机A的/mnt/share下。可以理解为主机A把/root/A下的文件移动到主机A的/mnt/share下)。
2. 主机B每隔10分钟检测一次共享磁盘C的”/mnt/share”。如果发现有文件存在,则把共享磁盘C下的文件拷贝到主机B的/root/B下。然后删除共享磁盘C下的文件。(此时,共享磁盘C已经挂载到主机B的/mnt/share下。可以理解为主机B把/mnt/share下的文件移动到主机B的/root/B下)
通过以上分析,可简化程序核心为如下:
主机A上应用的程序:
#include <stdio.h>
#include <dirent.h>
int main(void)
{
DIR *directory_pointer;
For(;;)
{
If((directory_pointer=opendir("/root/A"))!=NULL)
system(mv /root/A/* /mnt/share);
sleep(600);
}
}
主机B上应用的程序:
#include <stdio.h>
#include <dirent.h>
int main(void)
{
DIR *directory_pointer;
For(;;)
{
If((directory_pointer=opendir("/mnt/share"))!=NULL)
system(mv /mnt/share/* /root/B);
sleep(600);
}
}
以上程序只是一个体系构架。具体判断读取顺序,可以使用信号来进行控制。
另:XEYE网站,余弦说11月初将重新开放。到时,我将对QQ2009正式版SP4文本信息和文件传输数据流传输的安全性研究心得和大家分享,希望可以抛砖引玉。
首先,我来介绍下集群系统OCFS(RAC)。RAC的全称是什么呢,就是Real Application Cluster,是一种在集群的环境下实现共享的一种数据库存储形式。在通常我们的数据库,如果是单机版的数据库,当数据文件磁盘不能访问,那么这个数据库就挂掉了。如果是集群共享数据库的话,其中一种方法就是在某个节点存放数据文件,其余的数据库都通过NFS或者Samba来进行共享,虽然数据库的数据处理能力得到了很大的提高,不过如果这个存储节点挂掉的话,同样数据库也就宕掉了。而OCFS则是一种无断点恢复的存储形式,在整体给人的感觉就是每台数据服务器都有自己的文件系统,但是这些文件系统又仿佛只是同一个文件系统,因为数据更新或者其他的操作都是很统一的。即使某台电脑挂了,其余的服务器照样运行,不会出现数据库的异常,而如果想新加入一台服务器也是很简单的事。由此可见在共享文件系统文件传输设计中,选择OCFS2系统是最好的选择。
由于采用OCFS文件系统,共享磁盘C既可看作主机A的一个本地磁盘,又可看作B的一个本地磁盘。如图:
在这样一个网络配置环境下,程序初步实现算法如下:
1. 主机A每隔10分钟检测一次,把“/root/A”目录下的文件拷贝到共享磁盘C的 “/mnt/share”上,然后删除/root/A中的文件。(此时,共享磁盘C已经挂载到主机A的/mnt/share下。可以理解为主机A把/root/A下的文件移动到主机A的/mnt/share下)。
2. 主机B每隔10分钟检测一次共享磁盘C的”/mnt/share”。如果发现有文件存在,则把共享磁盘C下的文件拷贝到主机B的/root/B下。然后删除共享磁盘C下的文件。(此时,共享磁盘C已经挂载到主机B的/mnt/share下。可以理解为主机B把/mnt/share下的文件移动到主机B的/root/B下)
通过以上分析,可简化程序核心为如下:
主机A上应用的程序:
#include <stdio.h>
#include <dirent.h>
int main(void)
{
DIR *directory_pointer;
For(;;)
{
If((directory_pointer=opendir("/root/A"))!=NULL)
system(mv /root/A/* /mnt/share);
sleep(600);
}
}
主机B上应用的程序:
#include <stdio.h>
#include <dirent.h>
int main(void)
{
DIR *directory_pointer;
For(;;)
{
If((directory_pointer=opendir("/mnt/share"))!=NULL)
system(mv /mnt/share/* /root/B);
sleep(600);
}
}
以上程序只是一个体系构架。具体判断读取顺序,可以使用信号来进行控制。
另:XEYE网站,余弦说11月初将重新开放。到时,我将对QQ2009正式版SP4文本信息和文件传输数据流传输的安全性研究心得和大家分享,希望可以抛砖引玉。
